技術志向から金銭目的へ
2003年頃までのネットワーク攻撃、ネットワーク犯罪といったものの多くが技術志向目的であったのが、今では金銭が目的となり、より組織化が進んでいるというのだ。
たとえば古いネットワーク犯罪としては政府や大企業のサーバへ侵入してウェブサイトを書き換えるものや、TCP/IPの脆弱性を悪用したDoS攻撃、MelissaやLoveletterなどのウイルスメール、CodeRedなどのネットワークワームがあった。それが最近ではフィッシング詐欺のように金銭的な利害や組織的な破壊を目的としたものに変わってきているという。
たとえば大量のパケットを自動的に送りつけてネットワークやサーバをダウンさせるDoS攻撃。この多くはボットプログラムによって感染したPCが発信源となる。「以前はボットソースプログラムはフリーで入手できた。しかし、ここ2年ぐらい前から新しいバージョンが出回らなくなった。つまりボットも商品になってきたのだ」。これはネットワーク攻撃そのものがビジネス化したことを意味している。
さらにはボット用ネットワークのレンタルサービスまであるという。世界中に出回っているボットプログラムのオリジナルは10種類程度だが、すでに1万種類以上の亜種が生まれ、さらに増大を続けている。
脆弱性情報を独り占めする「ゼロダッシュデイアタック」
ネットワーク攻撃の多くはOSやアプリケーションの脆弱性を突いてくる。脆弱性が公表され、それにソフトベンダーやウイルス対策ベンダーが対応するまでのタイムラグに仕掛けられるのがゼロデイアタックだ。
ところが最近ではゼロデイアタック以前の攻撃があるという。「私はゼロダッシュデイアタックと呼んでいる。自分で新たな脆弱性を発見し、誰にも言わないで攻撃プログラムを作り、仕掛けてくる」。攻撃者以外は誰も知らない脆弱性。これではベンダーも対処しようがない。
昔は脆弱性は苦労して探さなければならなかったが、今では自動的にパラメータを変え、総当たりで脆弱性を発見するパソコン用のツールさえある。
さまざまなDNAを入れた防衛側のチーム作りが大事
このように変化するネットワーク攻撃に、従来のような情報セキュリティの専門家だけでは対応できないという。
「専門家の目線、解析アナリストの目線だけでなく、家庭内のパソコンユーザーの目線、報道の目線、犯罪捜査の目線、デバイス開発の目線などさまざまな人、異なるDNAを持った人が集まった多様性を持つチームを作り、有機的に結合させていく必要がある」
意図を持って攻撃がなされている以上、その目的や背景を含めて考えなければ、セキュリティは守れない。こうしたチーム作りや維持発展に必要なのは実務の仲介者、コアマンの存在であり、ギブアンドテイクによるWin-Win関係の構築、業態内の各種情報ニーズの分析をする必要がある。そして外部とのつなぎ役の存在も重要だ。
日本の現状としては、内閣官房情報セキュリティセンター(NISC)を中心として各官庁や海外機関とのネットワーク、政府関連団体や業界団体、そして個人やNPO的なコミュニティが重層的にできあがっている。
「そもそも安心安全な社会とは、適正以上に安全に投資をしなくても良い社会なのではないでしょうか」と岡谷氏は訴えた。
